BP-Risk-Analyse Benutzerhandbuch - SLB, MSR
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Benutzerhandbuch
BP-Risk-Analyse
Version Ausgabedatum Autor geprüft freigegeben
0.8 24.01.2011 SLB, MSR
Handbuch BP-Risk
1Inhalt
Seite
1 Änderungsübersicht ........................................................................................................... 5
2 Einführung .......................................................................................................................... 6
3 Voraussetzungen zur BP-Risk-Analyse ............................................................................. 7
3.1 Systemdefinition.............................................................................................................................7
3.2 Gefährdungsidentifikation ..............................................................................................................8
4 Grundsätzliche Konstruktion von BP-Risk........................................................................ 10
5 Durchführung der BP-Risk-Analyse ................................................................................. 11
5.1 BP-Risk Tabellen .........................................................................................................................13
5.2 Gefahrenabwehr G ......................................................................................................................14
5.3 Schadensausmass S ...................................................................................................................18
5.4 Zulässige Versagenshäufigkeit F.................................................................................................21
6 Beispiel Bahnübergang .................................................................................................... 22
7 Anhang ............................................................................................................................. 29
7.1 Funktionsliste Eisenbahnfahrzeug ...............................................................................................29
7.2 Fragen zu BP-Risk.......................................................................................................................36
Tabellen
Seite
Tabelle 1: Aufbauprinzip der BP-Risk-Tabellen ..................................................................... 14
Tabelle 2: Skala für Parameter B ........................................................................................... 15
Tabelle 3: Skala für Parameter M .......................................................................................... 16
Tabelle 4: Skala für Parameter T ........................................................................................... 19
Tabelle 5: Skala für Parameter V ........................................................................................... 20
Tabelle 6: Skala für Parameter A ........................................................................................... 20
Tabelle 7: Skala zur Bestimmung der zulässigen Versagenshäufigkeit F ............................. 21
Tabelle 8: Zusammenfassung funktionale FMEA .................................................................. 25
Tabelle 9: Funktion LH aus Funktionsliste ............................................................................. 26
Tabelle 10: Umrechnungsfaktor ............................................................................................. 28
Abbildungen
Seite
Abbildung 1: Prinzip der Systemdefinition für BP-Risk ............................................................ 7
Abbildung 2: Gefährdungsmodell............................................................................................. 8
Abbildung 3: Konstruktion von BP-Risk ................................................................................. 10
Abbildung 4: Ablauf der BP-Risk-Analyse.............................................................................. 12
Handbuch BP-Risk
2Abbildung 5: Schnittstelle Zug – BÜ....................................................................................... 22
Abbildung 6: Fehlerbaum BÜ ................................................................................................. 27
Abkürzungen
BP-Risk Best-Practice Risk
BÜ Bahnübergang
BÜSA Bahnübergangssicherungsanlage
CENELEC European Committee for Electrotechnical Standardization
DB AG Deutsche Bahn AG
DIN Deutsches Institut für Normung
EBA Eisenbahnbundesamt
EUB Eisenbahn-Unfalluntersuchungsstelle des Bundes
EN Europäische Norm
Fdl Fahrdienstleiter
FMEA Failure Mode and Effects Analysis
HGV Hochgeschwindigkeitsverkehr
prEN Entwurf für Europäische Norm
Sifa Sicherheitsfahrschaltung
SGV Schienengüterverkehr
SPFV Schienenpersonenfernverkehr
SPNV Schienenpersonennahverkehr
Tf Triebfahrzeugführer
THR Tolerable Hazard Rate (tolerierbare Gefährdungsrate)
BP-Risk-Parameter
A Anzahl betroffener Personen
B Betriebsdichte
G Gefahrenabwehr
i Index für Funktionsversagen (Gefährdung)
M Menschliche Gefahrenabwehr
S Schadensausmass
T maximale Last
V massgebliche Geschwindigkeit
Handbuch BP-Risk
3Quellenverzeichnis
[1] Bepperling, Sonja-Lara: „Validierung eines semi-quantitativen Ansatzes zur
Risikobeurteilung in der Eisenbahntechnik“. Schriftenreihe des Instituts für
Verkehrsplanung und Transportsysteme (IVT) der ETH Zürich, Band 144. Zürich
2009
[2] CENELEC (Hrsg.): EN 50126 Bahnanwendungen – Spezifikation und Nachweis der
Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS); 1999.
[3] CENELEC (Hrsg.): EN 50128 Bahnanwendungen – Telekommunikationstechnik,
Signaltechnik und Datenverarbeitungssysteme – Software für Eisenbahnsteuerungs-
und Überwachungssysteme; 2001.
[4] CENELEC (Hrsg.): EN 50129 Bahnanwendungen – Telekommunikationstechnik,
Signaltechnik und Datenverarbeitungssysteme – Sicherheitsrelevante elektronische
Systeme für Signaltechnik; 2003.
[5] CENELEC (Hrsg.): EN 60812 Analysetechniken für die Funktionsfähigkeit von
Systemen – Verfahren für die Fehlzustandsart- und –auswirkungsanalyse (FMEA);
2006.
[6] DIN (Hrsg.): DIN VDE 0831-101 Elektrische Bahn-Signalanlagen – Teil 101: Semi-
quantitative Verfahren zur Risikoanalyse technischer Funktionen in der
Eisenbahnsignaltechnik; 2010.
[7] DIN (Hrsg.): E DIN EN 15380-4 (Entwurf) Bahnanwendungen –
Kennzeichnungssystematik für Schienenfahrzeuge – Teil 4: Funktionsgruppen; 2009
[8] EBA (Hrsg.): Allgemeinverfügung zum Melden von gefährlichen Ereignissen im
Eisenbahnbetrieb vom 10.11.2009
[9] Hinzen, Albrecht: Der Einfluß des menschlichen Fehlers auf die Sicherheit der
Eisenbahn. Veröffentlichungen des verkehrswissenschaftlichen Institutes der
Rheinisch-Westfälischen Technischen Hochschule Aachen, Heft 48. Aachen
(Dissertation); 1993.
[10] Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die
Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und
Bewertung von Risiken gemäß Artikel 6 Absatz 3 Buchstabe a der Richtlinie
2004/49/EG des Europäischen Parlaments und des Rates; 2009.
Handbuch BP-Risk
41 Änderungsübersicht
Version Ausgabedatum Autor geprüft freigegeben Änderungen
0.0 Schranil
0.1 27.01.2010 SLB Überarbeitung;
Beispiel hinzugefügt
(Kapitel 6)
0.2 03.02.2010 SLB Korrekturen,
Ergänzungen
0.3 10.02.2010 SLB Formatänderungen,
Ergänzung der L-
Funktionen
0.4 19.02.2010 SLB alte L-Funktionen
eingefügt
0.5 28.04.2010 SLB Ergänzungen aus
Vornorm-Anforderungen
0.6 29.04.2010 SLB Korrekturen
0.7 21.01.2011 MSR Korrekturen;
Quellenverzeichnis
hinzugefügt
0.8 24.01.2011 SLB Schlusskorrekturen
Handbuch BP-Risk
52 Einführung
BP-Risk (Best-Practice Risk) stellt ein semi-quantitatives Verfahren zur
Risikobeurteilung in der Eisenbahnleit- und -sicherungstechnik dar. Seine Herleitung
erfolgte im Rahmen der Dissertation „Validierung eines semi-quantitativen Ansatzes
zur Risikobeurteilung in der Eisenbahntechnik“ [1] durch Dr. Sonja-Lara Bepperling.
Dieses Benutzerhandbuch fasst die wichtigsten Schritte zur Risikobeurteilung mit
Hilfe des Verfahrens „BP-Risk“ zusammen. Es richtet sich damit primär an einen
bereits mit Risikobeurteilungen vertrauten Anwender im Bahntechnikbereich und soll
die methodisch-theoretischen Hintergründe lediglich ansatzweise darlegen. Zur
Vertiefung der wissenschaftlichen Begründungen sowie der getroffenen Annahmen
und Randbedingungen sei hier lediglich auf die genannte Dissertationsschrift
verwiesen.
Der Begriff ‚best practice’ stammt aus der angloamerikanischen Betriebswirtschaft
und wird meist mit ,Standardverfahren’ oder ‚Erfolgsrezept’ übersetzt. Best-Practice
Risk wurde anhand von Anforderungen konstruiert, die bisher das ‚best practice’ zum
Thema Risikobeurteilung repräsentieren. BP-Risk eröffnet somit die Möglichkeit,
positive Eigenschaften von verbreiteten Ansätzen der Risikobeurteilung zu
kombinieren. Dieser Ansatz soll eine effiziente und anwenderfreundliche
Durchführung der Ableitung von zulässigen Häufigkeiten für Versagen der
Funktionen eines Mensch-Maschine-Systems ermöglichen.
Nach einer kurzen Einführung in die grundsätzliche Vorgehensweise im Rahmen
einer Risikobeurteilung wird die Durchführung der BP-Risk-Analyse in diesem
Handbuch vorgestellt. Gesetzliche und normative Grundlagen sind sowohl die
Verordnung (EG) Nr. 352/2009 [10] als auch die CENELEC-Normen EN 50126 [2],
EN 50128 [3] und EN 50129 [4] sowie die deutsche Vornorm DIN VDE 0831-101 [6]
zu semi-quantitativen Risikoanalysemethoden.
Handbuch BP-Risk
63 Voraussetzungen zur BP-Risk-Analyse
3.1 Systemdefinition
Das System, welches im Rahmen einer Risikobeurteilung mit Hilfe von BP-Risk
analysiert werden soll, erbringt seine Funktion i. d. R. durch das Zusammenwirken
von Mensch und Technik (Abbildung 1):
Abbildung 1: Prinzip der Systemdefinition für BP-Risk
Im konkreten Fall ist das System, welches mit BP-Risk betrachtet wird, ein Zug mit
der Betrachtungseinheit „eine Stunde Zugfahrt“. Zur Identifizierung von gültigen
Funktionen für dieses System steht im Anhang dieses Handbuches (siehe Kapitel
7.1) eine Funktionsliste aus der Schienenfahrzeugtechnik ([7], erweitert durch
Infrastrukturfunktionen) zur Verfügung, die auf einer für das Risikomodell von BP-
Risk abgestimmten Systemebene definiert ist. Generell ist darauf zu achten, dass die
Funktionen in der korrekten Ebene definiert werden. Sollte eine tiefere Ebene
(höhere Detaillierung, z. B. bei Komponentenbetrachtung) erforderlich sein, bietet
sich beispielsweise eine Fehlerbaumanalyse an, die der BP-Risk Analyse
anzuschliessen wäre.
Ist eine Funktion nicht in der Funktionsliste vorhanden, muss sie in der Analyse
definiert werden, wobei zu beachten ist, dass die gleiche Systemebene gewählt wird
wie für die in der Funktionsliste enthaltenen Funktionen.
Handbuch BP-Risk
73.2 Gefährdungsidentifikation
Im Zusammenhang mit der Systemsicherheit ist eine Gefährdung ein ungesicherter
Zustand des Systems, der zu einem Unfall führen kann. Im Allgemeinen beinhaltet
die Gefährdungsidentifikation eine systematische Analyse des Systems und umfasst
zwei Phasen – eine empirische und eine kreative Phase.
Die empirische Phase umfasst die Nutzung von Erfahrungen, z. B. aus Beinahe-
Unfällen oder Unfallstatistiken. Die kreative Phase beinhaltet Vorhersagen, z. B. in
Form von strukturierten „Was-wäre-wenn-Studien“ oder Checklisten.
Die empirische und die kreative Phase der Gefährdungsidentifikation ergänzen
einander, so dass angenommen werden kann, dass alle signifikanten Gefährdungen
identifiziert werden. Im Rahmen der kreativen Phase kann eine vereinfachte
funktionale FMEA (Failure Mode and Effects Analysis) nach EN 60812 [5]
durchgeführt werden. Eine generische Gefährdungsidentifikation auf Basis der
erstellten Funktionsliste (siehe Systemdefinition) ist grundsätzlich möglich. Dazu
kann für eine grobe Abschätzung aus der Liste der Systemfunktionen durch Negation
eine Liste der Systemgefährdungen abgeleitet werden. Dieses Ergebnis sollte jedoch
durch eine FMEA abgesichert werden.
Die Identifikation der betrieblichen Gefährdungen erfolgt im Bezug auf die
Systemgrenze und bildet den Ausgangspunkt für die Folgen- und Schadensanalyse
mit Hilfe von BP-Risk. Das hier zu Grunde liegende Gefährdungsmodell ist in
Abbildung 2 dargestellt:
Abbildung 2: Gefährdungsmodell
Handbuch BP-Risk
8Gefährdungen werden stets an der Systemgrenze definiert. Abbildung 2 macht
deutlich, dass eine Subsystem-Gefährdung an der Systemgrenze von Subsystem A
eine Gefährdung sein kann, wenn man nur das Subsystem A separat betrachten
würde. Geht die Betrachtung jedoch vom gesamten System aus, so ist die
Subsystem-Gefährdung von Subsystem A lediglich eine Ursache für die System-
Gefährdung an der Systemgrenze des gesamten Systems.
Handbuch BP-Risk
94 Grundsätzliche Konstruktion von BP-Risk
Die grundsätzliche Konstruktion von BP-Risk wird an dieser Stelle als
Hintergrundinformation dargelegt und kann in der oben genannten Dissertation [1]
detaillierter nachgelesen werden. An dieser Stelle werden nur kurz die wichtigsten
Schritte der Konstruktion von BP-Risk genannt:
Abbildung 3: Konstruktion von BP-Risk
1) Generisches Risikomodell
Beim grundlegenden BP-Risk Ansatz ist ein probabilistisches Modell definiert, das
die relevanten Parameter und Annahmen enthält (generisches Risikomodell). Dieses
Modell ist gut geeignet für Systeme mit geringer Komplexität bzw. für hohe
Systemebenen. Für diese Systeme können das Schadensausmass und die
Eintrittswahrscheinlichkeit sowie die Wahrscheinlichkeit der Fehleroffenbarung für ein
bestimmtes Funktionsversagen direkt analysiert werden.
2) Transformation
Das probabilistische Modell wird mittels einer mathematischen Transformation,
welche die wesentlichen Eigenschaften des Modells (Monotonie, Vergleichbarkeit,
Einfachheit) aufweist, auf ein qualitatives Modell abgebildet. Dabei werden die
quantitativen Parameter diskretisiert und auf Parameterbereiche abgebildet.
3) BP-Risk Tabellen
Die Parameterbereiche werden hinsichtlich der Minimierung von
Diskretisierungsfehlern und der sinnvollen verbalen Beschreibung optimiert.
Handbuch BP-Risk
105 Durchführung der BP-Risk-Analyse
Die Systemdefinition und Gefährdungsidentifikation werden von BP-Risk methodisch
nicht explizit unterstützt, sind aber zwingende Voraussetzungen. BP-Risk stellt
Vorgaben auf, unter welchen Randbedingungen die Systemdefinition und die
Gefährdungsidentifikation zu erstellen sind, so dass BP-Risk anwendbar ist.
Folgende Bedingungen müssen für eine Anwendung von BP-Risk erfüllt sein:
• System besitzt geringe Komplexität oder wird auf hohem Systemlevel betrachtet
• Systemdefinition erfolgt auf Ebene der Funktionsliste von BP-Risk
• Betrachtungseinheit ist ein Zug (kollektives Risiko); Betrachtungseinheit
Streckenelement kann im Rahmen von BP-Risk umgerechnet werden.
Bei Nichterfüllung der oben genannten Bedingungen müsste entweder die
Systemdefinition der Analayse oder die Konstruktion der Methode angepasst
werden. Falls diese Anpassungen nicht möglich sind, muss eine andere Methode für
die Risikobeurteilung verwendet werden.
Im Rahmen der BP-Risk Analyse erfolgt für jede Systemgefährdung eine
Abschätzung des typischen Schadensausmasses sowie der möglichen
Gefahrenabwehr. Es ist hierbei von entscheidender Bedeutung, dass für die
Bewertung keine ‚worst-case’-Situationen, sondern durchschnittliche oder
typischerweise auftretende Gegebenheiten, angenommen werden. Ein Abweichen
würde eine falsche Einstufung der zulässigen Versagenshäufigkeit bewirken und zu
unangemessen hohen Sicherheitsanforderungen führen.
Insgesamt ergibt sich folgender Prozess für die Risikobeurteilung (explizite
Risikoabschätzung und Risikobewertung nach CSM-Verordnung) mit BP-Risk
(Abbildung 4).
Handbuch BP-Risk
11Abbildung 4: Ablauf der BP-Risk-Analyse
Wenn BP-Risk für die Anwendung geeignet ist, dann müssen die
Gefährdungsszenarien gefunden und dargestellt werden. Dazu gehört eine
Handbuch BP-Risk
12Beschreibung der schon vorhandenen Schutzmassnahmen (also der vorhandenen
Barrieren). Dies kann methodisch mit der Darstellung als Ereignisbaum erfolgen.
Danach wird aus der Vielzahl von Szenarien ein „massgebliches Szenario“
ausgewählt, auf dessen Basis die Bewertung mit Hilfe der BP-Risk Tabellen
stattfindet. Zur Ermittlung des „massgeblichen Szenarios“ können z.B. die
Gefährdungen nach dem sich aus ihnen ergebenden Risiko eingeschätzt werden.
Die Auswahl des massgeblichen Szenarios muss entweder durch eine solche
Analyse oder eine begründete Entscheidung eines Expertenkreises (sog.
Sachverständigenurteil) erfolgen. Alternativ können alle relevanten Szenarien
ausgewertet werden. Es ist allerdings ausreichend, in der Risikobeurteilung das
massgebliche Szenario zu bewerten.
Alle Gefährdungsszenarien müssen in einem Gefährdungsprotokoll dokumentiert
werden, um die Vollständigkeit der Gefährdungsermittlung sicherzustellen. Im
Gefährdungsprotokoll müssen die erkannten Gefährdungen, die damit
zusammenhängenden Massnahmen und die Ursachen der Gefährdungen
dokumentiert und Angaben zu der für das Gefährdungsmanagement
verantwortlichen Organisation gemacht werden. Ausserdem müssen die bei der
Gefährdungsermittlung ggf. identifizierten Sicherheitsmassnahmen erfasst werden.
5.1 BP-Risk Tabellen
Das Ziel von BP-Risk in Bezug auf die konkrete Anwendbarkeit besteht darin, dass
der Anwender lediglich Tabellen korrekt anwenden muss, weil er darauf vertrauen
kann, dass die Konstruktion des Verfahrens richtig ist. Die eigentliche Anwendung
von BP-Risk ist somit unkompliziert möglich. Allerdings muss dabei beachtet werden,
dass eine Methode niemals das (Mit-) Denken des Anwenders ersetzen kann. Falls
Bedingungen unklar sind und der Anwender keine passende Parametereinstufung
finden kann, müssen Annahmen (Umstände und Randbedingungen) getroffen und
dann als sicherheitsrelevante Anwendungsauflagen definiert werden. Ausnahmen
sind allgemein anerkannte Tatsachen (Bestimmung durch einen Expertenkreis) oder
durch Vorschriften bereits abgedeckte Sachverhalte.
Handbuch BP-Risk
13Im Folgenden wird näher auf die einzelnen Parameter eingegangen, wobei die
jeweiligen Skalen erläutert werden. Die Tabellen sind grundsätzlich nach folgendem
Prinzip aufgebaut (Tabelle 1):
Tabelle 1: Aufbauprinzip der BP-Risk-Tabellen
Der für den Anwender nicht sichtbare Bereich (mathematische Transformation) wird
in diesem Handbuch nicht näher erläutert. Ebenso wird an dieser Stelle nicht auf die
Kalibrierung der BP-Risk Methode eingegangen, sondern lediglich auf die genannte
Dissertationsschrift verwiesen.
5.2 Gefahrenabwehr G
Mit Hilfe des Parameters Gefahrenabwehr wird eine vereinfachte Folgenanalyse
durchgeführt. Somit werden die möglichen Konsequenzen bewertet, die sich aus
einer Gefährdung ergeben können. Da nicht alle Gefährdungen unmittelbar zu
Unfällen führen, werden vor allem die verschiedenen Schutzmassnahmen identifiziert
und beurteilt. Die Subparameter für die Gefahrenabwehr berücksichtigen deshalb
Massnahmen zur Verhinderung von Unfällen und zur Reduzierung des
resultierenden Schadens. Diese Ereignisse oder Gegebenheiten müssen jedoch
explizit ausserhalb des definierten Systems liegen.
Die Gefahrenabwehr setzt sich aus den betrieblichen Randbedingungen B und der
menschlichen Gefahrenabwehr M zusammen:
Handbuch BP-Risk
14Gi = Bi + M i (Formel 1)
Bi betriebliche Randbedingungen. Dieser Wert sagt aus, wie wahrscheinlich es
unter gegebenen betrieblichen Randbedingungen ist, dass sich im folgenden
€ Zug befindet.
Abschnitt ein
Mi Möglichkeit der menschlichen Gefahrenabwehr. Es werden menschliche
Handlungen berücksichtigt, die nicht dem System zugerechnet werden können
bzw. nicht planmässig erfolgen.
Betriebsdichte B
In Abhängigkeit des mittleren Belegungsgrades des deutschen Bahnnetzes lassen
sich folgende betrieblichen Randbedingungen formulieren (siehe Tabelle 2):
B Betriebsdichte Beispiele
1 gering unter Netzdurchschnitt, z. B. auf Güterverkehrsstrecken
2 normal Netzdurchschnitt, z. B. auf Regionalverkehrsstrecken
3 erhöht über Netzdurchschnitt, z. B. auf Fern- oder HGV-Strecken
Tabelle 2: Skala für Parameter B
Menschliche Gefahrenabwehr M
Grundsätzlich sollten bei Risikobeurteilungen der Mensch als Bediener oder
Benutzer in die Analyse einbezogen werden. Allerdings ist sehr genau zu prüfen, ob
der Mensch Teil des betrachteten Systems ist (dies ist i. d. R. der Fall).
Bei der Betrachtung des Parameters M soll nun bewertet werden, inwiefern der
Mensch die Gefahr erkennen und den Schaden noch abwenden kann. An dieser
Stelle soll nur der Eingriff des Menschen betrachtet werden, der durch seine
Handlung eine Gefahr abwehren kann. So ist es z. B. denkbar, dass ein
Triebfahrzeugführer (Tf), dem eine zu hohe Geschwindigkeit für eine abzweigende
Weiche signalisiert wird, aufgrund seiner Streckenkenntnis die gefährliche Situation
erkennt und die Geschwindigkeit noch rechtzeitig drosseln kann. Ausserdem könnte
es sein, dass ihm ein Abschnitt fälschlicherweise als frei signalisiert wird, der Tf
jedoch die Gefahr (möglicherweise einen im Abschnitt stehenden Zug) erkennt und
seinen Zug noch rechtzeitig anhalten kann. Ein weiterer Fall wäre, dass einem
Handbuch BP-Risk
15Fahrdienstleiter (Fdl) oder Tf im betrieblichen Ablauf eine Unstimmigkeit oder
Besonderheit zufällig auffällt, dieser dann zum Beispiel über Zugfunk einen
Nothaltauftrag erteilt und damit die drohende Betriebsgefahr abwendet.
Die hier in Frage kommenden menschlichen Handlungen finden in der Regel unter
ungünstigen Umständen statt und werden bei kurzer Reaktionszeit unter Stress
durchgeführt. Daher wird im Rahmen von BP-Risk nur eine menschliche Handlung
bewertet. Bei mehreren Auswahlmöglichkeiten sollte die erfolgversprechendste
berücksichtigt werden.
Menschliche
M Beschreibung
Gefahrenabwehr
1 häufig möglich fertigkeits-basierende Handlung unter ungünstigen Umständen
3 selten möglich regel-basierende Handlungen unter ungünstigen Umständen
5 fast nie möglich zufälliges Eingreifen des Menschen
Tabelle 3: Skala für Parameter M
Bei der Einteilung der menschlichen Handlungen gelten folgende Kategorien:
„Fertigkeits-basierendes Verhalten ist gegeben, wenn der Mensch die ihm gestellte
Aufgabe eindeutig verstanden hat und sie aufgrund seiner Ausbildung mit
automatisch ablaufenden, sensomotorischen Reaktionen ausführen kann“ ([9],
S. 62). Für den Bahnbetrieb sind dies beispielsweise:
• Fernmündliche Meldung
• Fahrwegsicherung
• Feststellen der korrekten Weichenlage
• Tf fährt auf Sicht
• Zuordnung von Signalen zu Gleisen und Bedeutung durch Tf
• Streckenkenntnis des Tf über Besonderheiten
• anstandslose Bedienung der Sifa nur im Wachzustand
• Bemerken und Beachten des Halt zeigenden Signals
• Fdl bietet Zug an und wiederholt Annahme
• Nachbar-Fdl nimmt Zug an und bestätigt Richtigkeit
Handbuch BP-Risk
16„Regel-basierendes Verhalten ist dann gegeben, wenn der Mensch die ihm gestellte
Aufgabe aufgrund festgelegter Symptome einer gelernten Sammlung von
Verhaltensregeln der Form ‚Wenn - Dann’ zuordnen und mit der so gefundenen
Regel ausführen kann“ ([9], S.62), beispielsweise:
• Zugschlussfeststellung
• Signalhaltfeststellung
• Fdl diktiert Befehl und bestätigt Richtigkeit
• Tf schreibt Befehl und wiederholt Wortlaut
• Fdl bietet falsch fahrenden Zug an und wiederholt Annahme
• Nachbar-Fdl nimmt falsch fahrenden Zug an, bestätigt Richtigkeit der
Wiederholung
„Wissens-basierendes Verhalten ist dann gegeben, wenn der Mensch die ihm
gestellte Aufgabe aus Mangel an Erfahrung nur lösen kann, indem er seinen
Wissensschatz über die Funktionsweise des Systems nutzt, um komplexe oder gar
mehrdeutige Informationen auszuwerten, eine Entscheidung aufgrund allgemeiner
Ziele zu treffen und dann zu handeln.“ ([9], S. 62)
Der Anwender hat bei der Bewertung vom Parameter M zu entscheiden, um welche
Kategorie menschlichen Verhaltens es sich handelt. Dabei ist zu beachten, dass die
Bewertung von BP-Risk ein Gefährdungsszenario betrachtet, d. h. die Gefährdung
liegt bereits vor. Es ist zu diskutieren, ob bei Vorhandensein einer gefährlichen
Situation überhaupt noch ein fertigkeits-basierendes Verhalten des Menschen
möglich ist. In der Regel sind Gefährdungen und dementsprechende menschliche
Hilfshandlungen sehr selten und kaum trainiert – es liegen somit keine
routinemässigen Handlungen vor. Es mag jedoch Ausnahmen geben, bei denen
noch fertigkeits-basierende Handlungen selbst unter ungünstigen Umständen
möglich sind, z. B. das Erkennen, ob eine Weiche falsch steht.
In Ausnahmefällen können für die Bewertung des M-Parameters auch andere
technische Systeme zum Tragen kommen, dabei ist dann aber immer zu prüfen:
• Liegt Unabhängigkeit zum betrachteten System vor?
• Spielen ggf. wieder menschliche Handlungen eine Rolle?
• Wird die Gefahrenabwehr quasi automatisch unterstützt?
Handbuch BP-Risk
17Die Bewertung zusätzlicher technischer Barrieren sollte sich an anerkannten, einfach
zu beurteilenden Masstäben für das Sicherheitsniveau der technischen Funktion, die
die Barriere darstellt, orientieren (z.B. SIL- oder THR-Einstufung).
5.3 Schadensausmass S
Im Rahmen von Risikobeurteilungen wird oft der Personenschaden als
Risikokenngrösse verwendet. Es wird dabei angenommen: wenn das
Transportgefäss (Fahrzeug) gesichert ist, ist die Sicherheit insgesamt gegeben.
Demnach wird auch bei BP-Risk davon ausgegangen, dass die anderen Rechtsgüter
(wie Personen, Umwelt, Sachwerte, Image des Bahnbetreibers, etc.) hinreichend
geschützt sind, wenn der zu betrachtende Zug hinreichend geschützt ist.
Für BP-Risk bildet die Formel der kinetischen Energie die Grundlage der
Schadensbewertung. Bei der Einschätzung des Schadens für den zu betrachtenden
Zug soll beurteilt werden, welches Ausmass der Personenschaden einnehmen
könnte, falls die Gefahrenabwehr misslingt.
Si = Ti + Vi + Ai (Formel 2)
Ti Masse, ausgedrückt durch die durchschnittlich maximale Last für die jeweilige
Zuggattung.
Vi massgebliche
€ Geschwindigkeit des zu betrachtenden Zuges, kategorisiert
durch die erlaubte Geschwindigkeit auf bestimmten Strecken bzw. bei
bestimmten Betriebsmodi.
Ai Anzahl betroffener Personen, in Abhängigkeit der jeweiligen Unfallkategorie.
Maximale Last T
Die maximale Last wird für die jeweilige Zuggattung angegeben. Für den Parameter
T resultiert nunmehr (Tabelle 4):
Handbuch BP-Risk
18T Zuggattung Beispiele
1 SPNV Regionalbahn, S-Bahn-Züge
Triebzüge, bespannte Personenverkehrszüge,
2 SPFV + HGV
Nachtzüge, Autoreisezüge
3 SGV Güterzüge (auch Schnellgüterzüge)
Tabelle 4: Skala für Parameter T
Die hohe Gewichtung der Zuggattung Güterzüge wirft die Frage auf, ob die
Anforderungen für den Güterverkehr im Vergleich zum Personenverkehr nicht zu
hoch bewertet werden. Allerdings bietet BP-Risk durch die Parameter
Geschwindigkeit und Betriebsdichte die Möglichkeit, diese Gewichtung
auszugleichen. Im Güterverkehr ist mit geringeren Geschwindigkeiten und mit einer
geringeren Betriebsdichte zu rechnen als im Personenverkehr, so dass die
Anforderungen mindestens zwei Stufen geringer sind, was ungefähr einer
Zehnerpotenz entspricht. Bei Mischverkehr ist zu prüfen, ob der Personenverkehr
oder der Güterverkehr massgebend sind.
Massgebliche Geschwindigkeit V
Bei Unfällen des gleichen Typs können sehr starke Unterschiede bei den wirkenden
Kräften auftreten. Diese sind in erster Linie von den gefahrenen Geschwindigkeiten
abhängig. Zu beachten ist, dass nicht die Differenzgeschwindigkeit von z. B zwei
zusammenstossenden Zügen, sondern im Rahmen von BP-Risk nur die
massgebliche Geschwindigkeit des zu betrachtenden Zuges berücksichtigt wird.
Dabei ist weiterhin wichtig, dass die durchschnittlich auftretende Situation bewertet
wird. ‚Worst-case’-Annahmen würden hierbei zu falschen Ergebnissen führen.
Der Parameter V gibt die für den zu betrachtenden Zug massgebliche
durchschnittliche Geschwindigkeit an (Tabelle 5). Diese ist auf Grundlage bestimmter
Strecken- und Betriebsmodi kategorisiert.
Handbuch BP-Risk
19Massgebliche
V Beispiele
Geschwindigkeit
1 gering Rangieren, Fahrt auf Befehl, Güterverkehrsstrecke
2 mittel Nebenstrecke
3 hoch Nebenstrecke oder Regionalverkehrsstrecke
4 sehr hoch Fernverkehrsstrecke oder HGV-Strecke
Tabelle 5: Skala für Parameter V
Anzahl betroffener Personen A
Bei der Bewertung der Anzahl betroffener Personen ist für den Anwender die Frage
zu beantworten, welche typische Folge das betrachtete Gefährdungsszenario hat.
Für den Parameter A wird die mittlere Anzahl der betroffenen Personen in
Abhängigkeit des Unfalltyps angegeben. Die Kategorisierung der Unfalltypen erfolgt
gemäss der „Allgemeinverfügung zum Melden von gefährlichen Ereignissen im
Eisenbahnbetrieb“ [8] der EUB (Tabelle 6):
A Anzahl Betroffener Beispiele (Unfalltyp)
1 einzelne Person Aufprall oder im Güterverkehr
2 wenige Personen Zusammenprall
3 einige Personen Entgleisung
4 viele Personen
5 sehr viele Personen Zusammenstoss
Tabelle 6: Skala für Parameter A
Dabei ist zu beachten, dass die zu betrachtenden Personen Reisende und
Mitarbeiter sind. Es werden keine Dritten (z. B. Unbefugte oder
Strassenverkehrsteilnehmer am Bahnübergang) berücksichtigt, da sie ausserhalb
der Systemdefinition von BP-Risk liegen.
Handbuch BP-Risk
205.4 Zulässige Versagenshäufigkeit F
Nach der vereinfachten Folgen- und Konsequenzenanalyse kann nun die BP-Risk-
Tabelle für die zulässige Versagenshäufigkeit angewendet werden (Tabelle 7):
F
G+S THR = (√10) Beschreibung
-5
9 3 · 10 /h Einmal in 3 Jahren
-5
10 10 /h Einmal in 10 Jahren
11 3 · 10-6 /h Einmal in 30 Jahren
12 10-6 /h Einmal in 100 Jahren
13 3 · 10-7 /h Einmal in 300 Jahren
14 10-7 /h Einmal in 1’000 Jahren
15 3 · 10-8 /h Einmal in 3’000 Jahren
16 10-8 /h Einmal in 10’000 Jahren
17 3 · 10-9 /h Einmal in 30’000 Jahren
18 10-9 /h Einmal in 100’000 Jahren
19 3 · 10-10 /h Einmal in 300’000 Jahren
20 10-10 /h Einmal in 1’000’000 Jahren
Tabelle 7: Skala zur Bestimmung der zulässigen Versagenshäufigkeit F
Anhand der Summe der Parameter G und S erhält der Anwender aus Tabelle 7 oder
obiger Gleichung die zulässige Versagenshäufigkeit einer Systemfunktion. Die THR
(tolerierbare Ausfallrate) kann ebenso mit Hilfe folgender Gleichung berechnet
werden:
(Formel 3)
Die THR bezieht sich auf eine Betriebsstunde, da als Risikoakzeptanz das Kriterium
RAC-TS der Tabelle 7 zu Grunde gelegt ist. Weitere Details zur Kalibierung von BP-
Risk befinden sich in der genannten Dissertationsschrift.
Die zulässige Versagenshäufigkeit einer Systemfunktion als Ergebnis von BP-Risk
steht nun für Auswertungen und Betrachtungen ausserhalb des BP-Risk-Prozesses
zur Verfügung, wie z. B. einer Fehlerbaumanalyse, um die tolerierbare
Versagenshäufigkeit weiter herunter zu brechen.
Handbuch BP-Risk
216 Beispiel Bahnübergang
System abgrenzen
Das System ist abgegrenzt durch die vorgegebene Funktionsliste im Anhang (Kapitel 7).
Abbildung 5 zeigt die Systemgrenzen und die zugehörige Schnittstelle. Es wird davon
ausgegangen, dass die Bahnübergangssicherungsanlage (BÜSA) vom Fahrzeug aktiviert
wird (d. h. das Fahrzeug wird von der BÜSA detektiert), so dass in diesem Fall das Stellwerk
keine Rolle spielt.
Abbildung 5: Schnittstelle Zug – BÜ
Systemfunktionen beschreiben
Die zu betrachtende Systemfunktion laut Funktionsliste (Funktion LH) heisst: „BÜ sichern“.
Diese befindet sich an der Schnittstelle zwischen Zug und BÜ. Es wird im Rahmen dieses
Beispiels von einer zuggesteuerten Anlage ausgegangen. Die Sicherung für den
Strassenverkehr (in Form von Lichtzeichen- oder Blinklichtanlagen mit oder ohne
Halbschranken) werden vom Zug über Einschaltkontakte im Gleis aktiviert und über
Ausschaltkontakte oder eine Induktionsschleifen ausgeschaltet. Bei der Überwachung wird
i. d. R. zwischen dem Überwachen der eingetretenen Sicherung (Hauptsignal und
Überwachungssignal) und dem Überwachen der Verfügbarkeit der Anlage (Fernüberwacht
und Überwachungssignal mit optischer Einschaltung) unterschieden. Dadurch ergeben sich
verschiedene Informationsinhalte an den Schnittstellen BÜSA – Stellwerk oder
Überwachungssignal (BÜSA) – Tf. Für das vorliegende Beispiel wird zur Vereinfachung nur
die Überwachungsart Überwachungssignal (ÜS) betrachtet.
Bei der Überwachungsart ÜS signalisieren sogenannte Überwachungssignale dem
Triebfahrzeugführer, dass die BÜSA eingeschaltet wurde und ordnungsgemäss arbeitet. Die
Überwachungssignale sind im Bremswegabstand vor dem BÜ aufgestellt, so dass der Zug
bei Versagen der Einschaltung vor dem BÜ anhalten kann. Falls das ÜS anzeigt, dass die
Sicherungsanlage nicht eingeschaltet wurde, muss der BÜ manuell gesichert werden. Das
Schienenfahrzeug muss vor der Strasse anhalten und anschliessend muss der BÜ
Handbuch BP-Risk
22behelfsmässig oder örtlich gesichert werden. Das Befahren des BÜs ist dann nur mit
grösster Vorsicht und unter Abgabe akustischer Achtungssignale zulässig.
Die Ausschaltung erfolgt durch verschiedene lineare Systeme, z. B. Achszählkreise oder
Schaltpunkte. Die BÜSA wird ausgeschaltet, sobald der Zug den betreffenden Abschnitt
geräumt hat (BÜ ‚frei’ gefahren).
Versagengsmodi festlegen
Da der Betrachtungsgegenstand ein Schienenfahrzeug ist, sind nur diejenigen
Gefährdungen relevant, die auf den Zug wirken. Das bedeutet, es werden nur diejenigen
Funktionsversagen betrachtet, die für einen Zug gefährlich werden und zu einem Unfall
führen können, z. B. die Kollision eines Zuges am BÜ mit einem Hindernis
(Strassenfahrzeug, Fussgänger oder liegengebliebenes Hindernis). Unfälle, die den BÜ
allein betreffen, wie z. B. die Kollision eines Verkehrsteilnehmers mit einer Schranke, werden
nicht betrachtet.
Für die grobe Abschätzung lautet die Gefährdung aus der Negation der Funktion: ‚BÜ nicht
gesichert’. Bei einer ergänzenden Durchführung einer funktionalen FMEA werden die
verschiedenen Ausfallmodi der Funktion betrachtet. Die EN 60812 [5] beschreibt die
allgemeinen Versagensmodi wie folgt:
• Funktion wird nicht ausgeführt (totaler Ausfall),
• Funktion wird nicht zur vorgeschriebenen Zeit ausgeführt,
• Funktion wird nicht zur vorgeschriebenen Zeit beendet,
• Funktion wird vorzeitig ausgeführt.
Angewendet auf die Beispielfunktion, lauten die Versagensmodi:
a) BÜ-Sicherung wird nicht ausgeführt (totaler Ausfall),
b) BÜ-Sicherung wird nicht zur vorgeschriebenen Zeit ausgeführt,
c) BÜ-Sicherung wird nicht zur vorgeschriebenen Zeit beendet,
d) BÜ-Sicherung wird vorzeitig ausgeführt.
Handbuch BP-Risk
23FMEA - Analyse durchführen
Bei der Betrachtung der Versagensmodi ist es wichtig, diese in einen betrieblichen Kontext
zu setzten. Was bedeutet also ein totaler Ausfall der BÜ-Sicherung betrieblich? Dazu muss
bekannt sein, wie die BÜ-Sicherung funktioniert.
Fall a)
Ein mögliches Szenario für den ersten Fall wäre zum Beispiel, dass sowohl die
strassenseitige Sicherung (Lichtzeichen) als auch die schienenseitige Sicherung
(Überwachungssignal) versagt. Dabei ist es wichtig zu unterscheiden, ob ein Ausfallmodus
wirklich gefährlich ist (also zu einem Unfall führen könnte) oder nur betriebshemmend wirkt.
Dazu müssen die betrieblichen Auswirkungen des Funktionsausfalls betrachtet werden.
Beim Bahnübergang gibt es beispielsweise folgenden Auswirkungen:
• BÜ steht unerkannt ungesichert offen (gefährlich).
• BÜ ist nach Fehler dauerhaft geschlossen (betriebshemmend).
In beiden Fällen ist die Sicherungsanlage ‚ausgefallen’. Der zweite Ausfallmodus ist vorerst
nur betriebshemmend, da der BÜ durch die geschlossenen Schranken gesichert ist. Jedoch
kann solch eine Situation gefährlich werden, wenn die wartenden
Strassenverkehrsteilnehmer bei langem Nichterscheinen eines Zuges die BÜ-Sicherung
umgehen. In einem solchen Fall sind die menschlichen Handlungen entscheidend, ob es zu
einer Gefährdung kommt oder nicht
Laut DB AG Statistiken sind 98 % der Unfälle an Bahnübergängen auf das Fehlverhalten der
Strassenverkehrsteilnehmer zurückzuführen. Leichtsinn, Unaufmerksamkeit oder Unkenntnis
sind die häufigsten Ursachen.
Fall b)
Wird die BÜ-Sicherung nicht zur vorgeschriebenen Zeit ausgeführt, kann dies auch
bezeichnet werden als ‚Sicherung zur Unzeit‘, z. B. das Schliessen der Schranken zur
Unzeit. Zu erwähnen ist hierbei, dass der BÜ als gesichert gilt, wenn die Rotlichter das erste
Mal aufleuchten.
Beim Schliessen der Schranken zur Unzeit kann ein Verkehrsteilnehmer ohne Vorwarnung
gegen die Schranken fahren. Dieses wäre ein Unfalltyp, der nicht den Zug betrifft und
insofern nicht weiter betrachtet wird.
Fall c)
Wird die BÜ-Sicherung nicht zur vorgeschriebenen Zeit beendet, würde dies im vorliegenden
Beispiel besagen, dass die Ausschaltung vorzeitig erfolgt. Dies bedeutet betrieblich, dass der
Zug sich noch im Kreuzungsbereich mit der Strasse befindet und die Schranken bereits
geöffnet werden. Dieses Szenario wäre nur dann gefährlich, wenn der Zug das
Handbuch BP-Risk
24Überwachungssignal schon passiert hat, aber noch nicht am BÜ angekommen ist. Allerdings
ist hierbei zu beachten, dass es bereits Unfälle gab, wo Verkehrsteilnehmer in den fahrenden
Zug gefahren sind.
Ein anderer Fall für die nicht rechtzeitige Beendigung der Sicherung wäre z. B., dass die
roten Lichtzeichen eingeschaltet bleiben bzw. die Schranken sich nicht öffnen, obwohl der
Zug den BÜ geräumt hat. Diese Situation könnte die Strassenverkehrsteilnehmer dazu
verleiten, die Warneinrichtungen zu ignorieren.
Fall d)
Wird die BÜ-Sicherung vorzeitig ausgeführt, würde das für den Beispielfall einer zu frühen
Sicherung entsprechen. Eine zu frühe Einschaltung ist betrieblich allerdings nicht gefährlich,
sondern nur betriebshemmend. Die Strassenverkehrsteilnehmer müssten jedoch länger am
BÜ warten, was wiederum zu Ungeduld führen kann.
Tabelle 8: Zusammenfassung funktionale FMEA
Handbuch BP-Risk
25Das Ergebnis der FMEA ist eine Liste von betrieblichen Gefährdungen der
Systemfunktionen, eine Zusammenfassung für das oben genannte Beispiel gibt Tabelle 8.
BP-Risk Analyse
Für die Berechnung der Versagenshäufigkeit für ein Streckenelement wird im Folgenden ein
Bahnübergang (BÜ) bewertet. Die zugehörige Funktion aus der Funktionsliste befindet sich
an der Schnittstelle zur Funktion KGC und lautet: „BÜ sichern“ (siehe Tabelle 9).
Tabelle 9: Funktion LH aus Funktionsliste
Ebene
Funktion Erläuterung
1 2 3
K G C Signale steuern und überwachen Funktionsgruppe aus E DIN
EN 15380-4 [7]
L B H BÜ sichern Zusätzliche Streckenfunktion
Aus Sicht des Fahrzeugs bedeutet diese Funktion den Schutz des Bahnverkehrs vor
kreuzenden Kraftfahrzeugen (Strassenverkehrsteilnehmern). Die daraus abgeleitete
vereinfachte Gefährdung lautet: ‚BÜ nicht gesichert’. Damit ist gemeint, dass die BÜSA
sowohl für den Bahnbetrieb als auch für den Strassenverkehr unerkannt versagt. Nach
FMEA sind detaillierte Ausfallmodi, wie die vorzeitige Ein- und Ausschaltung im Falle einer
zugüberwachten BÜ-Anlage möglich. Das System einer zugüberwachten Anlage
(Überwachung ÜS) wird auch im folgenden Beispiel betrachtet.
Technisch gesicherte Bahnübergänge kommen in allen Betriebsarten und bei
Geschwindigkeiten bis 160 km/h vor. Zur Bewertung mit BP-Risk wird eine
Nahverkehrsstrecke angenommen, für die nach Tabelle 2 eine normale Betriebsdichte
angesetzt wird (B = 2).
Zur menschlichen Gefahrenabwehr können sowohl der Triebfahrzeugführer (Tf) als auch die
Strassenverkehrsteilnehmer beitragen. Da in den meisten Fällen nicht davon ausgegangen
werden kann, dass der Tf bei Versagen der BÜ-Sicherung die Geschwindigkeit erheblich
reduzieren kann, wird in diesem Fall die menschliche Gefahrenabwehr durch den Tf als fast
nie möglich eingestuft. Eine menschliche Gefahrenabwehr ist jedoch möglich durch eine
Notreaktion des Strassenverkehrsteilnehmers möglich, allerdings stark abhängig von
örtlichen Gegebenheiten (Bebauung, Wetter, Tageszeit, Verkehrsdichte, usw.), so dass von
einer stärkeren Risikoreduktion nicht ausgegangen wird. Die Gefahrenabwehr wird anhand
von Tabelle 3 als möglich eingestuft (M = 3), da bei zwei menschlichen Handlungen die
Erfolgversprechendste bewertet werden soll.
Handbuch BP-Risk
26Zusammenfassend ergeben die Werte der Subparameter B und M den Parameterwert für die
Gefahrenabwehr G = 2 + 3 = 5.
Wie vorhergehend beschrieben wird für das zu betrachtende Gefährdungsszenario eine
Nahverkehrsstrecke angenommen. Laut Tabelle 4 wird der Wert für die Zuggattung im
spurgeführten Nahverkehr (SPNV) mit T = 1 bewertet. Für Nahverkehrsstrecken wird nach
Tabelle 5 die massgebliche Geschwindigkeit als hoch eingestuft. Der Parameter V erhält den
Wert 3.
Bei Unfällen an Bahnübergängen kommen in der Regel die beteiligten
Strassenverkehrsteilnehmer sowie ggf. der Tf ernsthaft zu Schaden. Unfälle mit vielen
Opfern bilden die Ausnahme. Der Wert für Parameter A wird anhand von Tabelle 6 zu A = 2
bestimmt, da die typische Unfallfolge am BÜ ein ‚Zusammenprall’ ist.
Aus den Subparametern T, V und A ergibt sich für das Schadenspotenzial S
zusammenfassend folgender Wert S = 1 + 3 + 2 = 6. Anhand der Summe aus den
Parametern G und S (G + S = 11) wird mit Hilfe der Tabelle 7 die zulässige
Versagenshäufigkeit bestimmt zu 3 · 10-6/h pro Funktion, also einem tolerierbaren
gefährlichen Versagen in 30 Jahren.
Fehlerbaumanalyse
Der für den Fall BÜ konkretisierte Fehlerbaum ist in Abbildung 6 dargestellt. Damit kann die
Versagengshäufigkeit von BP-Risk weiter aufgeteilt werden. Da wie oben erwähnt die ÜS-
Anlagen keine Verbindung zum Stellwerk haben, entfällt der Gefährdungsbeitrag der
zentralen Funktion. Auch der Beitrag aus der Kommunikation entfällt hier, da keine
Übertragung zwischen Fahrzeug und der Ein- und Ausschaltung stattfindet. Die
Radsensoren detektieren das vorbeifahrende Fahrzeug – es werden jedoch keine
Informationen im eigentlichen Sinne übertragen.
Abbildung 6: Fehlerbaum BÜ
Handbuch BP-Risk
27Die THR der lokalen Funktion beträgt somit 3 · 10-6/h. Das Fahrzeug hat keinen Anteil an
dieser Funktion, so dass die THR für den Bezug auf die Strecke mit Hilfe des
Umrechnungsfaktors u aus Tabelle 10 umgerechnet wird. Dabei wird für den Nahverkehr
eine SPNV 120 angenommen. Somit beträgt die THR für die Strecke
3 · 10-6/h · 0,023 ≈ 6.9 · 10-8/h pro Streckenkilometer.
Tabelle 10: Umrechnungsfaktor
VR Auslastung u
Standard
in km/h in Zug/h in Zug/km
HGV 135 5.00 0.037
SPFV230 108 3.86 0.036
SPFV160 93 3.05 0.033
SPNV120 90 2.06 0.023
SPNV80 60 1.33 0.022
SGV 18 0.42 0.023
Um die THR pro Streckenelement zu erhalten, ist eine weitere Umrechnung nötig, welche die
Anzahl der Streckenelemente pro Kilometer berücksichtigt. Laut DB-Jahresbericht befinden
sich insgesamt 20’317 Bahnübergänge im Netz der DB AG, was eine Betriebslänge von
34’128 km hat. Da Bahnübergänge im Fern- und Hochgeschwindigkeitsverkehr nicht
vorkommen, wird die Anzahl der Bahnübergänge auf die Strecken des SPFV 160, SPNV und
SGV aufgeteilt. Die prozentuale Einteilung der Betriebskilometer erfolgt nach den Vorgaben
der Netz 21 Strategie der DB AG. Nach Expertenschätzung wird für die Strecken des
SPFV 160 und SPNV 120 angenommen, dass sich ca. alle 3 km ein BÜ befindet. Für die
Strecken des SPNV 80 und SGV wird angenommen, dass sich ca. alle 1 km ein BÜ befindet.
Der Kehrwert (km pro BÜ) kann als die Anzahl der Kilometer verstanden werden, die sich
durchschnittlich zwischen zwei Bahnübergängen auf der Strecke befinden. Mit diesem Wert
wird die neue THR bestimmt. Sie beträgt für eine SPNV 120-Strecke:
6.9 · 10-8/h pro km · 3.0 km pro BÜ = 2.07 · 10-7/h pro BÜ.
Es ist wichtig zu erwähnen, dass diese Anforderung für ein System gilt, das aus Mensch und
Technik besteht. Wenn man den untersuchten Bahnübergang jedoch weitestgehend durch
Technik sichert, liegt das vorliegende Ergebnis in derselben Grössenordnung wie die
Sicherheitsanforderung für Bahnübergänge, die beispielhaft anhand der Risikoformel
ermittelt wurde.
Handbuch BP-Risk
287 Anhang
7.1 Funktionsliste Eisenbahnfahrzeug nach [7]
Beispiele/
CODE Funktion Kommentar
Erläuterungen
Räume aufteilen, gestalten, Trenn- oder Schirmwände,
BB
verkleiden Innentüren, Verkleidungen
Fahrzeugkasten, Einhausung,
Transportgut tragen/
BC um Reaktionskräfte
aufnehmen/ umschliessen
aufzunehmen
Aufkletterschutz,
Energieabsorptionselemente im
BD Aufprall schützen
Falle eines Crashs, strukturelle
Wagenkastenfestigkeit
Brandmelde- und
BE Vor Feuer schützen Brandschutzkonzept
-löschanlage
Sichere & komfortable
Sitze, Liegen, Vorkehrungen für
CB Aufenthalts- &
sicheres Stehen
Sitzlandschaften bereitstellen
Blick-/Beobachtungs-
CC möglichkeit nach Aussen Fenster, ggf. auch Kameras
sicherstellen
CD Innenbeleuchtung bereitstellen Innenbeleuchtung
Fahrzeugklimatisierung
CE Heizung, Lüftung, Klimatisierung
bereitstellen
Bereitstellen von "public auch sicherheitsrelevante
Kommunikation, Beschriftung,
address", Warnhinweise der Crew an
CF Fahrplaninfo, Audio- und
Passagierinformation, die Passagiere durch
Videounterhaltung
Intercom & Entertainment Lautsprecherdurchsagen
Passagier- / interne Videoüberwachung
CCTV (Closed Circuit Tele
CG Ladungsüberwachung der Passagier- und
Vision) system
ermöglichen Laderäume
CH Sanitärfunktionen bereitstellen Toiletten, Waschräume
Gastronomische Funktionen
CJ Restaurant, Bistro, Galley
bereitstellen
Sonstige Servicefunktionen
CK Fahrkartenautomaten Fahrgastzähleinrichtung
bereitstellen
Neigung aus Komfortgründen
zur Limitierung der Bogenschnelles Fahren
CL
Querbeschleunigung im (Neigetechnik)
Wagenkasten
Steuerung Neigetechnik;
CL B Neigungsvorgang überwachen Positions- und
Geschwindigkeitsüberwachung
aktive Neigetechnik mit
CL C Fahrzeugkasten neigen Neigeantrieb
Antrieb
Lichtraumprofil im
Zusammenhang mit der
CL E ausreichendes Lichtraumprofil Streckenprofilüberwachung Neigetechnik; durch die
für Neigung sicherstellen Neigung des Wagenkastens
kann das Lichtraumprofil
Handbuch BP-Risk
29Beispiele/
CODE Funktion Kommentar
Erläuterungen
verletzt werden.
Türen, Notausstiege, Tritte,
Funktionen, verbunden mit
Zugang von aussen Treppen, Haltegriffe, Geländer,
DB dem Management der
ermöglichen Laderampen, Rollstuhlhilfe,
Aussentüren
Laufstege, rutschfeste Beläge
Türöffnung durch Fahrgäste
DBB Aussentüren lösen
ermöglichen
Türsystem bei Hindernis Positions- und
DBE
managen Zustandserkennung
DBF Aussentüren verriegeln
Selektives Öffnen von z.B. um bestimmte Fahrzeuge
DBH
Aussentüren ermöglichen des Zugs unzugänglich zu halten
Erkennung des Öffnungs-
und Ableitungssignals zur
Öffnen der Aussentüren im Hebel mit Ausschnitt für
DBN Zugkontrolle zur Einleitung
Notfall ermöglichen Türantrieb und -kontrolle
der Notbremsung / zur
Vermeidung des Starts
Türen zwischen den
Zugang über Innentüren Fahrzeugen, die den Fahrgästen
DC
ermöglichen die Bewegung im Zug
ermöglichen
Luken, Laderaumtüren,
Laden und Entladen von
Fracht laden und entladen Befülleinrichtungen,
DD Gütern über Türen oder
ermöglichen Entleereinrichtung,
Schüttguteinrichtungen
Schwerkraftentladung
Flexible Konfiguration Freies Zusammenstellen von
E B
ermöglichen Zugteilen im Betrieb
E BB Kuppeln steuern
E BC Entkuppeln steuern
Kräfte über Kupplung
E BD Zug- und Stosskräfte
übertragen
Signalleitungen, Energie - und Elektrisches und
Zugsteuerleitungen,
E BE Hilfsenergieleitungen pneumatisches Kuppeln
Bussysteme, Druckleitungen
verbinden und Entkuppeln
Handbuch BP-Risk
30Beispiele/
CODE Funktion Kommentar
Erläuterungen
Zugtrennung erkennen und Rückmeldung zum Kuppelstatus
E BF
darauf reagieren (gekuppelt, entkuppelt)
Passagier- und Fahrzeugübergang,
E C Nutzlasttransfer zwischen den Mittelpufferkupplung
Wagen ermöglichen
Stromzuführung inkl. Oberleitung, aber auch
F B Traktionsenergie bereitstellen
Rückstromführung mittels Generator
Bordnetzumrichter, Bordnetzumrichter wird aus
Elektrische Energie für
F C Bordnetzgenerator Hilfsdiesel, dem Zwischenkreis oder der
Hilfsbetriebe bereitstellen
Hauptluftpresser, Hilfsluftpresser Oberleitung gespeist
Strömungsenergie für Traktion Transformer, Stromrichter,
F D
bereitstellen Dieselmotor, Hydraulik
Strömungsenergie für
F E
Hilfsbetriebe bereitstellen
Mechanische Energie für
F F
Traktion bereitstellen
Mechanische Energie für
F G
Hilfsbetriebe bereitstellen
Chemische Energie für
F H
Traktion bereitstellen
Vortriebskraft und Bremskraft Traktionsstromrichter, Getriebe
GB
erzeugen und Fahrmotor
verarbeitet Traktionsanforderung
durch den Tf oder andere
Bereitstellung der geforderten
GBC Steuerungseinrichtungen (z.B.
Traktion
ATO) innerhalb der
Traktionsteuerung weiter
G B C D Traktionssperre
generelle Bremsfunktionalität,
GC Bremsen
inklusive pneumatische Bremse
GCB Bremsüberwachung
Bremsanforderungen innerhalb
des Fahrzeugs, durch den Tf
aber auch z.B. durch die kann unterteilt werden in
Zugsicherungseinrichtung; auch direkte und indirekte
Bereitstellen der geforderten
GCC das Managen des Brake Bremseanforderungen
Bremsleistung
Blendings zwischen den durch den Tf
verschiedenen Bremsarten
(elektrisches oder mechanisches
Bremsen)
Priorisierung der
GCD
Bremsanforderung, Auswahl
Handbuch BP-Risk
31Beispiele/
CODE Funktion Kommentar
Erläuterungen
des Bremsmodus
GCE Feststellen des Bremsbedarfs
Bremsregelung abhängig von
Zugskonfiguration,
GCF
Bremsmodus und
Bremsanforderung
Anforderung und Auflösen der
GCG
Bremskraft
die WSP-Funktion hebt ggf.
Bereitstellen des den Bremszugriff auf, greift
GCH
Gleitschutzes massiv in das Bremssystem
ein
Kraftschlussbeiwert
GD Gleitschutz, Sandung, Putzklötze
Rad/Schiene verbessern
alle Funktionen, um das
Zugpersonal über den Zustand
HB Zugpersonal informieren
des Zuges und dessen Systeme
zu informieren
Kommunikation innerhalb
betriebliche Kommunikation im
Zugweite Kommunikation des Zuges bzw. zwischen
HC Zug oder mit ortsfesten
bereitstellen zusammengekuppelten
Einrichtungen
Zügen
Daten für das
Zugtaufe zur Bestimmung der
Zugsteuergerät (ZSG); die
Zugkonfiguration (Anzahl,
vorhandenen Wagen und
HCB Zugtaufe Reihenfolge, Richtung und
deren Reihenfolge sind
Eigenschaften der einzelnen
notwendig zur Steuerung
Wagen)
der Systeme
HCC Zugbus steuern Zugang, Datenpriorisierung, QoS
Steuerung des Fahrzeuges in
HD Zugbetriebsart steuern
allen Betriebsphasen
allgemeine Bedien- und
Einwandfreie Steuerung betreffen Funktionen
HE Steuerungsfunktionen,
ermöglichen innerhalb des Fahrzeuges
hauptsächlich durch Tf
Funktionen zur Cabsteuerung Schlüsselschalter zum
HEB Führerstand steuern und zur Steuerung seiner Aufriegeln des
Funktionalität Führerstandes (key switch)
Brems- und
Beschleunigungsanforderung; Übergeordnete Fahr- und
Fahr- / Bremsanforderung Brake-Blending, bei welchem die Bremssteuerung des
HEC
steuern Bremssteuerung die elektrische Fahrzeugs (durch den Tf,
Bremse und die mechanische z.B. Fahr-Brems-Hebel)
Bremse steuert
Zentrale Funktionen zur
Steuerung von
HED Energieversorgung steuern
Batteriehauptschalter,
Hauptschalter, Pantograph
Geeignete und sichere Zentrale Funktionen zur Bedarfsgerechte
HEE
Bedingungen steuern Steuerung von Komfort- und Vorhaltung; Schaltwerk,
Handbuch BP-Risk
32Sie können auch lesen
